보안인증 ssl에 대해서 늘 숙제와 같이 사이트에 적용하지 못하고 있었던 찰나에 개인보호정보협회에서 메일이 날라와 적극적으로 숙제를 마무리 할 수 있었다. 사실 늘 웹사이트에 도메인 주소 앞에 열쇠(보안인증 마크)모양이 아니라 "주의 필요"라는 문구가 떴을 때마다 보안 인증서를 서버에 설치해야한다고 생각했지만, 미룬 것이 몇년째였다.
여하튼 개인보호정보협회에서는 아래와 같이 메일을 보냈다.
"웹사이트를 점검한 결과, 아래와 같이 인터넷 전송구간의 개인정보 전송 시 암호화를 구축하지 않은 것으로 확인 되었습니다. 정보통신서비스 제공자가 개인정보를 암호화하지 않고 전송할 경우, 『정보통신망법』 제28조제1항 및 같은 법 시행령 제15조제6항, 제76조제1항에 따라 3천만원 이하의 과태료가 부과될 수 있으니, 2020년 8월 31일 까지 위반 사항에 대한 개선을 완료하여 보안서버 구축 안내 센터에 연락주시기 바랍니다."
사실 이렇게 법이 제정이 되었음에도 아마도 많은 웹사이트 운영자들은 위와 같은 사실을 잘 모르고 있을 것이다. 법과 별개로 사용자들의 개인정보를 수집하고 관리하는 웹사이트 운영자로서 그동안 너무 이부분을 간과한 것은 아닌가 하고 반성하며, 보안 인증을 적용시켰다.
보안 인증서 설치를 꺼려했던 이유
필자는 웹디자인은 다년간 경험을 보유하고 있지만, 서버쪽은 자세히 아는바가 없었고, 나이가 들어 필자가 웹을 배울적에는 보안인증서에 대해 중요하게 생각하지 않았기 때문에 지식을 쌓을 수 없었다. 따라서 보안인증서 설치와 관련해 필자는 아래와 같이 몇가지 문제가 있었다.
1. 나스(큐냅, qnap)로 운영중인 웹사이트를 https로 연결설정은 어떻게 하나?
2. 나스의 경우에는 인증서를 어떻게 설치할 수 있는가?
3. 도메인 CNAME에도 보안인증서를 설치할 수 있는가?
4. 무료로 보안인증서를 다운받아 설치할 수 있는가?
이를 하나하나 설명과 해결방법을 알아보자.
나스(큐냅, qnap)로 운영중인 웹사이트를 https로 연결설정은 어떻게 하나?
필자는 다량의 파일 수와 하루 10만 페이지뷰 정도를 기록하는 웹페이지를 가지고 있다. 국내 웹호스팅으로 필자의 웹을 운영하기에는 비용적인 측면에서 감당하기 어렵고, 해외의 무제한 호스팅 역시 말뿐 무제한이고, 파일수를 제한한다던지, 과부하시 속도저하나 블럭의 제한을 두고 있기 때문에 차선책으로 선택한 것이 나스였다.
고성능 큐냅 나스를 세팅하여 웹사이트를 운영하고 있으며, 큐냅의 경우는 무료 인증서인 let's Encrypt 를 자동으로 설치할 수 있도록 세팅되어 있다. 하지만, 큐냅에서 제공하는 ddns인 xxxxxx.myqnapcloud.com 의 주소만 적용이 되기 때문에 소유한 도메인을 사용하는 경우 다른 방법을 찾아야 한다.
필자는 CNAME을 이용하여 큐냅에서 제공하는 주소를 소유한 도메인으로 연결해서 사용하고 있다. 따라서 소유한 도메인으로 나스에 인증서를 설치해야 한다. 필자와 같은 어려움이 있는 사람이 있을 것으로 알고, 간단히 설명하도록하겠다.
시놀로지도 그러한지 모르겠지만, 큐냅의 경우는 나스메인페이지와 웹페이지의 포트와 구성을 다르게 시스템화되어있다. 따라서 동일한 도메인이라도 포트에 따라서 나스메인페이지 또는 웹페이지로 연결이 된다. 일반적으로 기본세팅이 나스메인페이지는 8080번 포트를 사용하고, 웹페이지는 80번 포트를 사용한다.
80번이 기본이기 때문에 큐냅에서 제공하는 도메인이든, CNAME을 통해 연결한 도메인이든 포트번호 없이 주소를 입력하면 웹서버의 페이지로 연결되어 문제가 없다. 나스페이지의 경우는 "도메인:8080"으로 입력해야 접속된다.
하지만, 보안인증서가 연결되어 접속될 https의 경우는 기본적으로 나스페이지가 443번 포트를, 웹서버가 8081번으로 되어 있어서(일반적으로 http의 기본포틑 443) 보안인증서 설치후 https로 연결시 도메인을 사용해서 연결하면 웹서버 페이지가 아닌 나스페이지로 연결된다. 해결방법은 간단히 나스페이지 포트와 웹서버 포트를 바꾸어주면 된다.
제어판에서 '일반설정에서의 https 포트를 443에서 8081로 변경해주고', '웹서버의 https 포트를 8081에서 443으로 변경'해주면 도메인으로 연결할 때 나스페이지가 아닌 웹서버의 페이지, 즉 운영하는 웹페이지로 연결된다.
나스의 경우에는 인증서를 어떻게 설치할 수 있는가?
이 부분이 필자가 보안인증서를 설치하는 것을 미루는 계기였다. 지식이 없다보니 공부하고 어려운 터미널 용어들을 알아내어 설치해야 할 것만 같아서 겁을 먹은 것 같다. 터미널에 익숙한 사람들은 쉬운 용어일지라도, 필자의 경우는 터미널에 명령을 넣는게 여간 어려운일이 아니다.
하지만, 나스의 유용한 점이 무엇인가? 개인서버를 운영할 때 어려운 일들을 나스 회사가 쉽게 프로그래밍해서 사용자의 편의성을 높여준 것이 아닌가??? 보안인증의 경우에도 인증서 설치는 매우 쉬운 것이었음에도 터미널에서 명령을 입력해야할 것으로 오해를 하고 있었다.
여하튼 앞서 말했듯이 큐냅 나스에는 기본적으로 큐냅 제공 도메인에 무료인증서를 설치하도록 해주고 있지만, 필자는 CNAME으로 소유한 도메인을 연결하고 사용하고 있기 때문에 소유한 도메인으로 보안인증서를 발급받아 나스 서버에 이 인증서를 등록해주어야 제대로 작동한다.
설치방법은 터미널 접속이 필요없다. 간단히 제어판 -> 보안 -> 인증 및 개인키교체 메뉴를 통해 인증서를 설치할 수 있다. 일반적으로 보안 인증서를 발급받으면 세개의 파일이 있는데, 순서대로 파일만 업로드 해주면 나스가 알아서 서버에 설치를 해준다. 이렇게 쉬운 방법을 몰라 큐냅 나스에 인증서를 어떻게 설치해야하는지 몰라 해외 큐냅 포럼에서 방법을 찾아 설치하였다.
참고 글 : forum.qnap.com/viewtopic.php?t=144434
도메인 CNAME에도 보안인증서를 설치할 수 있는가?
CNAME은 일반적으로 도메인 별명이라고 불리지만, 일단 연결해 놓으면 포워딩과 달라서 도메인 자체로 웹에서 사용할 수 있다. 구글링을 통해 CNAME 보안인증 연결을 검색했더니 안된다는 몇개의 답변을 읽어서 안되는 줄로 알았는데, 실제로 사용된 도메인 이름으로 키를 발급받은 것이라면 CNAME 연결과 상관없이 보안 연결이 아주 잘 된다.
무료로 보안인증서를 다운받아 설치할 수 있는가?
많은 유저들이 무료 보안인증서를 거론할 때 쉽고 간편한 방법으로 Cloudflare를 많이 추천했다. 이 방법은 따로 서버에 보안인증서를 설치할 필요없기 때문에 필자와 같이 서버에 지식이 부족한 사람들에게 매우 유용한 방법이다.
하지만, 필자가 클라우드플래어를 사용해본 결과 완벽한 보안인증으로 구글의 주소창에 열쇠마크가 아닌 "완벽하지 않은 보안연결"이라는 문구가 떴다. 다른 사람들은 보안연결이 되었다는 열쇠마크가 잘 나온다고 하지만, 필자의 경우는 아마도 호스팅이나 개인서버가 아닌 나스를 서버로 사용하기 때문으로 보인다.
즉, 큐냅의 경우는 따로 인증서를 설치하지 않아도 기본적으로 큐냅에서 인증서를 제공해주기 때문에 소유한 도메인을 사용한다면 큐냅이 기본적으로 제공하는 도메인이 아니기 때문에 구글에서 접속 주소와 서버 도메인이 다르다고 판단하는 것으로 추측한다.. 물론 정확한 것은 아니지만, 다른 걸 떠나서 속도가 나오지 않아서 일단은 패스했다.
잠깐만 구글링하면, 무료로 보안인증서 ssl을 다운받을 수 있다. 필자는 ZeroSsl에서 다운받아서 설치했다. 물론 유효기간이 3개월마다 갱신해주어야 하지만, 그래도 무료로 사용할 수 있는 방법이 있다는 것만으로도 꽤 괜찮은 방법이다.
무료로 보안인증서를 다운받아 앞서 설명한 방법으로 나스에 적용시켜주면 된다.
결론
사이트의 보안인증이 너무나도 허무하고 간단하게 해결이 되었다. 워드프레스로 설치된 웹사이트라서 http 주소를 자동 https로 리디렉션 해주는 플러그인 really simple ssl를 설치해서 간단하게 모든게 해결되었다.
언제나 그러하듯 나는 알고보면 너무나 쉬운 것인데 시도하지 않아서 겁부터 먹는 어리석은 행동을 반복한다.
댓글